homefinance blog
Cuando comencé como diseñador y desarrollador web, mi mayor problema era hacer que las cosas funcionen como quisiera. Estaba más preocupado por hacer que las cosas (en su mayoría) funcionen como esperaba. Hacer que las cosas se vean elegantes generalmente era uno de mis principales objetivos cuando termino un sitio web. La seguridad de WordPress fue la más pequeña de mis preocupaciones. Hackear fue algo sobre lo que leí, no algo que esperaba que me pasara. La inyección de SQL, los guiones entre sitios, el aumento de los privilegios y las vulnerabilidades críticas de seguridad eran solo palabras de moda en noticias técnicas.
Pero un día, asegurar mis sitios de repente se ha vuelto muy importante, muy rápido, cuando mi feed de Facebook me dijo que existe una vulnerabilidad crítica en WordPress, que fue explotada activamente. Cuando intenté conectarme a mi sitio, mis credenciales no fueron aceptadas. La mayoría de mis sitios se han visto comprometidos por la vulnerabilidad. Sin embargo, tuve suerte. Tomé una medida de precaución desatendida, que guardó mis sitios de la operación completa, renombró el nombre de usuario de mi administrador, y, a pesar de que la vulnerabilidad fue explotada en mi sitio, los piratas informáticos no podían estar conectados. Había usado un nombre de usuario de administrador complejo. en lugar del nombre de usuario implícito “administrador” al que se esperaban los piratas informáticos.
Hoy lo sé de manera diferente. La seguridad de WordPress es fundamental: cada sitio web de WordPress debe estar completamente asegurado y consolidado. Asegúrese de que su sitio web con nuestra lista de verificación de seguridad suprema en 32 pasos para WordPress Descargue la lista de verificaciones ¿Por qué un hacker estaría interesado en mi sitio? Antes de hundirse en profundidad al asegurar su sitio y todos los pasos que necesita para evitar WordPress Pirate, es esencial comprender la logística y el razonamiento detrás de un truco del sitio. Es comprensible que te preguntes: “¿Por qué un hacker estaría interesado en mi sitio? Es solo el sitio web de mi empresa local, visto por máximo unos pocos cientos de personas. ¿Qué sacarán de eso? Hay muchas razones por las cuales un hacker estaría interesado en su “pequeño” sitio. Aunque algunos hacks se realizan por razones políticas (la deformación de los sitios web para enviar ciertos mensajes políticos, por ejemplo), estos tipos de hacks suelen ser muy localizados y no son tan populares como les dirían a los medios. La mayoría de los ataques de piratería tienen lugar por más razones de derivación. Hoy en día, la piratería es parte de un anillo de delitos cuyo propósito final es ganar dinero por medios fraudulentos. Por lo general, después de que se rompe un sitio web, se convierte en un intermediario para la distribución del software malicioso. La mayoría de las veces, el propietario del sitio web no tiene en cuenta todo esto.
Hay cuadros que se compran y se venden en el mercado negro en línea, lo que hace que la distribución de malware sea extremadamente fácilmente a través de sitios web pirateados. ¡Esencialmente, su sitio web podría formar parte involucrado en actividades criminales! Además, hay otras implicaciones negativas: su sitio podría usarse como proxy de spam
Un sitio web roto y dañado probablemente provocaría daños a la reputación de una marca. Que además de una seria vergüenza
Los sitios pirateados generalmente abruman su servidor de alojamiento, lo que lleva a cerrar el sitio. Esto generalmente conducirá a la pérdida comercial
Los costos de recuperar un sitio web pirateado pueden variar de muy pocos (si tiene una copia de seguridad de copia de seguridad) a una renovación completa si sus datos se eliminan/se pierden sin posibilidad de recuperación.
¿Crees que tu sitio es tan pequeño que nadie lo atacará? Piénsalo.
El uso de la siguiente lista de verificación de seguridad de WordPress lo ayudará a hacer que sus piratas informáticos resistentes a WordPress. ¿Cómo me encuentra un hacker de sitio? Puede asumir falsamente que, en millones de sitios web disponibles en línea, la probabilidad de que un hacker encuentre y apunte a su sitio es extremadamente distante. Después de todo, su sitio es solo una gota en un océano de sitios web, ¿verdad? Está usted equivocado. Los piratas informáticos no hacen este trabajo manualmente. Contratan minions para hacer su trabajo sucio. Bueno, ni siquiera Minions, en realidad son botas o programas (RO) cuyo único propósito es buscar sitios web vulnerables.
Estos programas o scripts generalmente se ejecutan en servidores de la nube, donde pueden configurarse y destruirse según lo deseen, dejando pocos o ningún rastro. Las escrituras usan medios para descubrir cientos, si no miles de sitios web por hora. El hecho de que las Escrituras se compren muy baratas y se ejecutan en servidores de alojamiento de nubes baratos que vale la pena la “inversión”. Estos guiones generalmente se compran y se venden en foros de marketing de ducha. Una vez que se encuentra un sitio, se sondea para miles de vulnerabilidades conocidas. Si su sitio de WordPress no se ha asegurado completamente, la probabilidad de que el sitio parezca ileso es absolutamente mínimo. Las vulnerabilidades se descubren continuamente en WordPress y sus complementos. Es por eso que la seguridad de WordPress es esencial para la salud de su sitio.
Seguridad de WordPress: una lista de verificación de 32 pasos considerando todas las cosas de miedo anteriores, quiero asegurarme de que esté armado con todo el conocimiento que puede obtener para asegurar completamente su sitio de WordPress. Aquí hay una lista de verificación de todas las cosas que debe hacer para asegurar sus sitios de WordPress. Esta lista de verificación se divide en dos: la primera parte incluye medidas que todos deberían hacer, especialmente cosas básicas, como tener contraseñas seguras. La segunda parte se refiere a medidas avanzadas para la seguridad de WordPress para aquellos que son verdaderamente paranoicos en términos de seguridad. Esto es para los administradores que desean cerrar la puerta, colocar una cadena alrededor de la puerta y cerrarla. Y luego una cerradura en la cerradura.
Parte 1: Los pasos que todos deberían tomar para asegurar su WordPress #1: Mantenga siempre su versión de WordPress #2: No cambie WordPress #3: Asegúrese de que todos los complementos se actualicen #4: Elimine cualquier inactivo o inactivo o Complementos no utilizados #5: Asegúrese de que todos los temas se actualicen #6: Instale temas, complementos y scripts solo de su fuente oficial #7: Elija un servicio seguro de alojamiento de WordPress #8: Asegúrese de que su sitio esté ejecutando la última versión PHP #9: Cambie el nombre de usuario admin #10: Siempre use las contraseñas potentes #11: No reutilice las contraseñas #12: Proteja sus contraseñas evitando sus contraseñas en texto simple #13: Actualice su sitio solo de las redes de confianza #14: Use un antivirus local #15: Habilite la consola de búsqueda de Google #16: Secure WordPress con un complemento de seguridad a prueba de balas de WordPress #17: Si todo falla, restaurar desde CO mercado de repuesto
PARTE 2: Asegurar un sitio web de WordPress para entusiastas de la seguridad de Well Being, ni siquiera la seguridad de la seguridad. Aunque estos son consejos de seguridad de WordPress un poco más avanzados, generalmente solo sabe cómo instalar un complemento, cambiar algunos archivos ICI y allí, y generalmente prepárate para la posibilidad de romper las cosas. Esté preparado para regresar con niños de seguridad si esto sucede. #18: PRUEBAS DE INICIO DE LIMITO #19: Habilite la autenticación de dos factores #20: Asegúrese de que los archivos sean correctos #21: Cambie la Tabla predeterminada #22: Asegúrese de configurar el Secret WordPress #23: Desactivar la ejecución de PHP #24: Segregue su Bases de datos de WordPress #25: restringir los privilegios de usuario de su base de datos #2 si no lo usa) #29: Desactive el informe de los errores de PHP #30: Instale un firewall #31: Use un contenido de la red de entrega de contenido #32: Monitoree su WordPress Seguridad con registro de seguridad
Parte 1: Los pasos que todos deben tomar para garantizar su WordPress #1: Mantenga siempre su versión de WordPress actualizada De vez en cuando, escuche por personas que deshabilitan las actualizaciones de Base of WordPress, porque “una actualización podría Destruye uno de mis complementos “. Este es un razonamiento grave grave. Si tuviera que elegir entre un sitio pirateado y un complemento roto temporal, ¿cuál elegiría? Los complementos que son incompatibles con las últimas versiones de WordPress seguirán siendo por un período de tiempo muy corto. Un sitio pirateado, por otro lado, es un problema mucho mayor. Siempre es importante mantener el software básico de WordPress.
Cada actualización básica soluciona cualquier problema de seguridad recientemente descubierto. Si el software básico de WordPress no se actualiza, su sitio web será vulnerable a estos problemas. Si desea activar las actualizaciones básicas de WordPress sin un complemento, puede hacerlo a través del archivo wp.config.php. Agregue la siguiente línea al archivo:
Se carga los principales rawrits/e6414aed587d9d138bdcbfa4ea1617c9.
Sin embargo, lo anterior también permitirá el desarrollo básico y las actualizaciones nocturnas, que probablemente no desee. Agregue lo siguiente al archivo function.php para obtener solo versiones principales y menores:
Cargue los rawrits principales/48593149797e756e1eff09e9c17fee9c
Nota: Por lo general, no recomendamos la edición directa de las funciones.php.Siempre es mejor crear un tema para el niño.Más tarde discutiremos cómo actualizar automáticamente los complementos de WordPress y los temas de WordPress.#2: No cambie el núcleo de WordPress Cuando usted o un desarrollador editen los archivos de origen básico de WordPress, ya no puede actualizar de manera fácil y automáticamente WordPress a la última versión, porque perderá los cambios que realizó en su sitio Esto le deja el sitio muerto en el agua tan pronto como se descubre una vulnerabilidad de seguridad en su versión de WordPress.Se dará cuenta de cómo implementar correctamente los remedios específicos o dejarlos de manera inapropiada.El primero son muchos dolores de cabeza y una pesadilla logística;
Este último representa un riesgo de seguridad grave. ¿Qué debes hacer si tienes que cambiar la funcionalidad de WordPress? Escribe un complemento, por supuesto. Esto le brinda la oportunidad de hacer lo que necesite sin comprometer el núcleo de WordPress. Por supuesto, la misma lógica se aplica a complementos y temas. Cuando realiza algún cambio básico en complementos y temas, pierde la capacidad de actualizar a la última versión. Esto deja su sitio abierto a piratería. Hay formas y medios para lograr la funcionalidad deseada que necesita sin cambiar efectivamente el núcleo. Si algún desarrollador con el que trabaje sugiere hacer tales cambios, ejecute una milla. #3: Asegúrese de que todos sus complementos se actualicen Como en los archivos básicos de WordPress, las vulnerabilidades se encuentran con frecuencia en los terceros complementos de WordPress. Ha habido muchos incidentes de piratería de alto perfil debido a complementos populares que contienen vulnerabilidades. No los nombraremos y no nos avergonzaremos aquí. La mayoría de los programas de software son propensos a estos problemas en un momento dado de su existencia. La forma en que se trata la vulnerabilidad le muestra de qué están hechas las personas que dirigen la empresa. A menudo, tan pronto como se descubra un problema, los desarrolladores de arado lo resolverán rápidamente y lanzarán una actualización. En ese momento, se convierte en su responsabilidad actualizar el complemento a la última versión, de lo contrario, aún es propenso a un ataque de hack. Siempre mantenga sus complementos para asegurarse de usar la última versión.
Ya sea que lo haga manual o automáticamente, siempre mantenga sus complementos actualizados.Puede activar actualizaciones de fondo automáticas en los complementos WordPress.org utilizando el archivo de funciones Next.
Esto se aplica solo a los complementos descargados de WordPress.org. Cualquier actualización comercial de complementos debe ser administrada por su propio mecanismo de actualización. No descuide la actualización de los complementos. Mantenga a los miembros de los complementos activos para que siempre pueda obtener las últimas actualizaciones. #4: Elimine los complementos inactivos o no utilizados A medida que aumenta la cantidad de complementos que instala, aumenta los riesgos de que se descubre una vulnerabilidad en uno de estos complementos. A veces instalamos complementos para probar su funcionalidad y luego olvidamos eliminarlos de nuestro sitio. Si se descubre una vulnerabilidad en estos complementos, su sitio se convierte en un pato sentado (especialmente si no sigue los consejos anteriores y siempre actualiza los complementos). Su sitio aún es vulnerable incluso si ese complemento está instalado en su sitio y no se utiliza. La forma más segura de minimizar los riesgos es desinstalar completamente cualquier complemento que no use. Hay una manera muy simple de saber qué complementos no se usan. Están marcados como inactivos en la sección del complemento del administrador de WordPress. Borra los. Además, elimine los complementos que estén activos, pero que aún no se usen realmente. Mejor, al probar complementos, no los pruebe en su sitio en vivo. En su lugar, cree una prueba de prueba de su sitio (en un servidor de prueba local o en algún lugar que esté separado de su servidor en vivo). Realice cualquier prueba de complemento en ese sitio en lugar de su sitio en vivo. #5:
Asegúrese de que todos los temas se mantengan actualizados La misma lógica que se aplica a las actualizaciones básicas de WordPress y las actualizaciones de arado, aplique a los temas. Asegurar WordPress significa que todos los temas deben actualizarse a las últimas versiones. De lo contrario, cualquier agujero de seguridad que se haya remediado seguirá siendo un problema en su sitio. Ahora es probable que piense en todos los cambios que ha realizado a la base y cómo se rompen si está actualizando el tema. En realidad, los cambios en los temas deben realizarse a través de temas infantiles, en lugar de directamente sobre el tema real. Esto le permitirá obtener los últimos remedios y actualizaciones de seguridad sin interrumpir sus cambios. Si quieres descansar tu mente por completo, sería mejor eliminar los temas no utilizados. Puede verificar qué temas requieren actualizaciones en la sección de aspecto> temas del administrador de WordPress. También puede activar actualizaciones de fondo automáticas para temas de WordPress.org también utilizando las siguientes funciones.php Archivo: la idea RaewRites/C1910BADB28A14AADFCD703E602E9DE.
Esto se aplica a los temas descargados de WordPress.org. Cualquier actualización de temas comerciales debe ser administrado por su propio mecanismo de actualización. Mantenga sus suscripciones activas para asegurarse de recibir todas las actualizaciones de seguridad. Nota: Si ajusta los archivos wp-config.php y functions.php no es su problema, puede optar por activar todas las actualizaciones de fondo automáticas usando el complemento WordPress, actualizaciones automáticas avanzadas. Puede usar actualizaciones automáticas avanzadas para cambiar la configuración de actualizaciones automáticas y activar todo lo anterior. #6: Instale temas, complementos y scripts solo desde su fuente oficial A veces, cuando los tiempos son difíciles, podríamos vernos “pasar por alto” el pago de un buen tema o complemento, obteniéndolo de * tos * menos que sitios de renombre. De hecho, no es malo llamar y vergüenza aquí. Los sitios piratas, torrent y otros sitios de Warez son algo que debes evitar como una peste. Sin embargo, lo que generalmente no logramos es que muchos de estos temas pirateados que descargan han sido modificados maliciosos. La mayoría de las veces se instaló una puerta trasera en el guión. Esto permite el sitio donde el tema o el complemento se usa para ser controlado de forma remota por los hackers por razones adversas. ¿Confiarías en el dinero de un conocido artista de estafas? No creería eso. Lo mismo para su sitio. No confía en los guiones de WordPress “gratuitos” que provienen de personas cuyo negocio roba el trabajo de los demás. Entonces, ¿dónde están los sitios seguros para encontrar temas de calidad?
WordPress.org es el lugar más común donde se encuentran complementos y temas para WordPress. Los complementos o los temas comerciales se pueden encontrar en muchos sitios que comienzan con WPMU Dev y sitios como WordPress.com, theForest.net o Codecanyon.net Si la seguridad de WordPress es importante para usted, manténgase alejado de los sitios pirat. #7: Elija un servicio seguro de alojamiento de WordPress Un buen servicio de alojamiento de WordPress ayuda a proteger su sitio de los ataques de piratería. Consciente Security Services tendrá un equipo de seguridad dedicado que monitorea las últimas vulnerabilidades (incluso 0 días de hacks, es decir, para el cual no hay remedio) y evita las reglas en sus firewalls. Para mitigar cualquier ataque de hack en su sitio web. WordPress Hosting es un Hot Topic, por lo que no haré recomendaciones aquí, pero la página de alojamiento de WordPress hace algunas sugerencias. Estas no son de ninguna manera las únicas compañías de seguridad conscientes. Vea la revisión de la publicación de alojamiento web: Entonces, ¿quién es el mejor? Para una breve presentación de los hosts web para tener cuidado. #8: Asegúrese de que su sitio ejecute la última versión de PHP La página de estadísticas globales de WordPress incluye una estadística alarmante: solo el 1.7% de las instalaciones de WordPress se ejecutan en la última versión de PHP (7), mientras que aproximadamente el 19.8% ejecuta la versión 5.6, que todavía es aceptado. ¡El resto de las instalaciones de WordPress (casi 80%) se ejecutan en versiones que ya no se aceptan! Las estadísticas más recientes de WordPress muestran que la mayoría de las instalaciones usan PHP versión 5.4, que no se acepta.
Además del hecho de que su sitio no se beneficia de las funciones de rendimiento lanzadas con las últimas versiones, también significa que las soluciones de seguridad descubiertas no serán remediadas.Permanecerán en la naturaleza, listos para explotar.Así como WordPress recibe una serie de actualizaciones básicas, incluidos los remedios de seguridad, PHP, el motor básico de WordPress, también recibe una parte justa de las actualizaciones de la versión.Ahora, actualizar WordPress es una operación bastante simple. No olvide actualizar la última versión de PHP.
Por otro lado, la actualización de su versión PHP depende en gran medida de su servicio de alojamiento. Un buen servicio de alojamiento debe hacer que las últimas versiones de PHP estén disponibles para ser utilizadas con su instalación de WordPress por algo llamado con el conmutador de versión PHP (a la que generalmente se accede a través de su cuenta de Cpanel). #9: Cambie el administrador del nombre de usuario a WordPress 3.0, el nombre de usuario de usuario predeterminado era “Admin”. Esto ha creado cierta riqueza para los piratas informáticos, porque no había necesidad de adivinar el nombre de usuario del administrador. Esto es algo válido hoy. Muchas personas todavía eligen usar “Admin” como un nombre de usuario predeterminado. Una de las formas más rápidas de garantizar la autenticación de su administrador de WordPress contra los ataques de fuerza bruta es cambiar el nombre de usuario “administrador” predeterminado con algo más difícil de adivinar. (Esto es lo que salvó mi propio sitio de la piration). Puede, y debe, hacer esto durante la instalación real de WordPress. Si su nombre de usuario es actualmente administrador, debe crear un nuevo usuario de administrador con un nombre de usuario que sea menos obvio para adivinar y eliminar al viejo usuario administrador. También puede cambiar el nombre del usuario usando phpMyAdmin o elegir ejecutar un script SQL en la base de datos para cambiar el nombre del usuario del administrador: cargue las principales raeewRites/AB92D3559F7D72DCCE5D91F73BADD8448
Este rápido y fácil truco de seguridad de WordPress puede evitar muchos intentos de piratería simples. #10: Siempre use contraseñas seguras Cuando miro a un cliente que ingresa a la contraseña del administrador, me gusta ofrecerle confidencialidad y mirar hacia otro lado del teclado. Pero hace unos años, por error, no giré mi mirada lo suficientemente rápido mientras ingresaba la contraseña. Para mi desesperación, los vi escribiendo lo siguiente: 1 2 3 4 5 6 dijo que estaba aterrorizado sería un eufemismo. Otra combinación de autenticación y contraseña que conozco muy a menudo, lo que (casi) me da lágrimas en mis ojos, es esta combinación de nombre de usuario y contraseña: administrador/administrador además del hecho de que cualquiera mira por encima del hombro (como yo) plantearía de inmediato Esa contraseña, hay una razón mucho más seria por la que tiene que crear contraseñas seguras: los piratas informáticos saben que los seres humanos tienden a olvidar sus contraseñas y son propensos a usar contraseñas simples. , fácil -para superar las contraseñas. Usan esto para su ventaja, con una lista de las contraseñas más utilizadas, que intentan una y otra vez. Esto se llama el forzamiento bruto de una contraseña. Debido a que algunas personas usarán estas contraseñas, es esencialmente una serie de números, y las posibilidades generalmente se apilan contra usted. Por lo tanto, use siempre una contraseña segura. Aquí hay un ejemplo de una contraseña segura: thizzi5alongstr*ngibuzw00rd ¿Deberían todas las contraseñas son tan complejas como esta?
Probable. #11: No reutilice sus contraseñas Nunca debe reutilizar las contraseñas. Te escuché, es conveniente tener solo una contraseña (con suerte) en todas partes. No tendrá que recordar tantas contraseñas, pero esto está muy mal en muchos niveles. Una vez más, los piratas informáticos saben que esta es una debilidad humana. Significa que cuando una de sus cuentas se ve comprometida, probablemente tengan acceso al resto de sus cuentas. Hay muchos administradores de contraseñas que le permitirán crear diferentes contraseñas y almacenarlas de manera segura. Estos son muy recomendados. Esto no es solo la seguridad de WordPress, es solo sentido común. #12: Proteja sus contraseñas evitando transmitir contraseñas en texto simple es un hecho conocido (y una realidad triste) que hay todo tipo de espinos en el tráfico de Internet. Los datos confidenciales, como tarjetas de crédito y contraseñas, nunca deben enviarse como una forma ilimitada. Habrá muchos ojos (y analizadores) en sus datos, asegúrese de proteger sus contraseñas utilizando las siguientes técnicas preventivas
No envíe contraseñas por correo electrónico, chat, redes sociales u otras formas de transmisión desinfectada
Implemente HTTPS en su sitio web de WordPress, especialmente en el backend para evitar enviar contraseñas al texto simple. Puede encontrar todo sobre la implementación de HTTPS en nuestro artículo cómo usar SSL y HTTPS con WordPress.
Evite usar FTP simple cuando acceda a su sitio. Use ssh o ftps. El protocolo FTP fue escrito en el período oscuro de Internet y no está seguro de usar. Las contraseñas y los archivos se transmiten en texto simple y no están encriptados en absoluto. FTP o (FTP seguro), por otro lado, cifre efectivamente la transmisión de datos a través de FTP. Deberá configurar una cuenta FTPS en su servidor host antes de poder hacerlo. Por supuesto, las contraseñas no deben compartirse entre los usuarios o almacenarse en texto simple en cualquier lugar, sin importar cuán conveniente sea esto. La práctica de compartir datos de conexión y contraseñas está en contradicción con la seguridad y la responsabilidad.
#13: Actualice su sitio solo de redes de confianza A veces tendemos a considerar la conveniencia de encontrar Wi-Fi gratuito como una mano celestial. Pero los entusiastas de la seguridad paranoicos (como yo) tienden a estremecerse ante la idea de actualizar un sitio web desde una red indefinida, como la conexión Wi-Fi gratuita con el café local. Una conexión WiFi abierta es extremadamente fácil de buscar. Es posible recibir mucho más que el “gratuito” que cree que recibe si accede a su sitio de administración de WordPress desde una red confiable. Actualice su sitio solo desde redes de confianza como el hogar y la oficina. #14: Use un antivirus local Imagine que es un virus informático en una estación de trabajo de escritorio. Cuídame por un momento. Recuerde que el objetivo principal de un virus es propagarse tanto como sea posible. Qué mejor manera de propagar el virus que la replicación en su sitio web. Es bonito, ¿verdad?
Esta es una táctica ampliamente utilizada por los virus. Hay muchas estaciones de trabajo infectadas en cualquier momento. Y de esas estaciones de trabajo, hay muchas que utilizan los administradores de WordPress. Esta es una pequeña combinación del peor de los casos. Un virus de escritorio puede propagarse rápidamente y puede conducir a la infección de su sitio. También puede buscar sus contraseñas y, para el infierno, incluso su tarjeta de crédito y otros detalles personales. Asegúrese de que la estación de trabajo local ejecute un antivirus bueno y actualizado para evitar su infección y propagarse en su sitio web. #15: Active la consola de búsqueda de Google Aunque esta no es una recomendación de seguridad de WordPress estricta, es algo que puede completar los pasos que ya ha tomado para fortalecer su seguridad de WordPress. Google y otros motores de búsqueda tienen interés en garantizar que su sitio web se mantenga limpio de malware. Por esta razón, la consola de búsqueda de Google le recomendará si su sitio web comienza a alojar archivos maliciosos. Aunque esta es una situación no de servicio en la que su sitio ya estaba pirateado, en lugar de actuar para evitar su sitio de WordPress, es bueno saber que el malware se ha detectado en su sitio, por lo que puede remediar el problema lo antes posible. .Google Search Console es un servicio gratuito ofrecido por Google que lo ayuda a monitorear y mantener la presencia de su sitio.
# 16: Seguro WordPress con un complemento de seguridad WordPress Bulletproof Muchos de los pasos de esta lista de verificación no son banales. También puede requerir un poco de reparaciones técnicas con su sitio de WordPress y, en lugar de asegurar WordPress, puede tirarlo al aire. Sin embargo, te hemos cubierto. El defensor es una forma fácil pero segura de asegurar WordPress con poco o ningún esfuerzo por su parte. Nuestro complemento de seguridad puede identificar cualquier problema de seguridad de WordPress que actualmente afecte a sus sitios web y puede brindarle orientación sobre cómo remediarlos. Si bien creemos que el defensor es una de las mejores opciones para las personas familiarizadas con WPMudev, hay muchas otras opciones para la seguridad de WordPress. Dos de las opciones más populares son jugos y Wordfency: son muy diferentes en la forma en que funcionan. La primera es una solución basada en la nube completamente basada, que también se combina como un firewall e incluso un CDN, este último realmente funciona directamente en su sitio (es un complemento). Los he revisado a ambos en Collectiveray.com, así que eche un vistazo a ese artículo, si desea tomar una decisión informada con las ventajas y desventajas de cada uno.
Después de haber remediado cualquier problema, también puede realizar un escaneo para asegurarse de que ninguno de sus temas o complementos contenga vulnerabilidades conocidas. Si lo hago, podrá tomar medidas para remediar estos problemas antes de que se conviertan en problemas importantes para su sitio. Además de su primera instalación, el defensor le permite programar escaneos regulares de su sitio web. Si eres como yo, debes estar muy entusiasmado con la seguridad de WordPress algún día, pero a medida que las cosas se ocupan, la seguridad entra en retroceso. Los escaneos automáticos se asegurarán de que no se relaje con la seguridad de WordPress. Hay muchas otras funciones excelentes en el defensor de WordPress, incluido el monitoreo y la alerta en la lista negra, los informes de vulnerabilidad y el fortalecimiento personalizado. #17: Si todo falla, restaure desde la copia de seguridad Enumeré una lista de verificación que debería hacer para asegurar WordPress y entiendo que podría ser algo difícil implementar todo esto. También sé que en la práctica, podrías rendirte y perderte algunos de ellos. ¡Pero hay una tarea en la que realmente no deberías saltar!
Si el momento es desafortunado y la pérdida ocurre al mismo tiempo que un ataque de hack, es importante tener un plan de repuesto. Lo único que nunca debe perderse u olvidar es tener un plan de copia de seguridad de WordPress. No solo en el caso de los ataques de hack, sino incluso en accidentes, defectos técnicos y otros accidentes. Con una copia de seguridad, puede asegurarse de que su sitio se pueda reiniciar y enrollar rápidamente. Snapshot Pro es como una máquina del tiempo para su sitio web, lo que le permite hacer una copia de seguridad y restaurar todo el sitio e incluso programar copias de seguridad automáticas regulares. Una vez que haya configurado un plan de copia de seguridad, sabe que si su sitio está pirateado, solo tiene que descubrir la fuente de hack, regresar de la copia de seguridad, remediar el “agujero” que permitió que su sitio se rompa y sea bueno para hacer. Nota importante: debe probar la copia de seguridad de WordPress de vez en cuando, restaurarla en una ubicación temporal y asegurarse de que todo esté en funcionamiento. Lo último que necesitas es una copia de seguridad que crees que está funcionando, pero en realidad no.
Parte 2: Seguridad de WordPress para los entusiastas de la seguridad #18: Limite los intentos de inicio de sesión Ya hemos discutido el forzamiento brutal de las contraseñas y el hecho de que el uso de las botas es barato y una buena inversión para los piratas informáticos.Por esta razón, debe implementar mecanismos para bloquear cualquier intento de forzar su contraseña.El complemento de inicio de sesión de límite de WordPress hace esto exactamente.Si detecta un número de conexión incorrecto, rechaza al usuario a intentarlo nuevamente por un período de tiempo.Esto, por supuesto, causa intentos de forzamiento bruto de ser mucho más difíciles de tener éxito y mejora significativamente la seguridad de WordPress.#19:
Active la autenticación con dos factores Una forma de asegurar sus conexiones de WordPress rápida y fácilmente es activando la autenticación de dos factores, también conocida como 2FA. 2FA crea un mecanismo para conectarse al backend de WordPress, además de la contraseña habitual, también necesitará un símbolo de seguridad basado en el tiempo, que es único para cada usuario. Este token también expira después de un período de tiempo, generalmente 60 segundos. El indicador de seguridad generalmente es generado por una aplicación como Google Authenticator. Debido a que hay un símbolo de seguridad único para cada usuario expirar, incluso si alguien conoce sus credenciales de conexión, no podrá conectarse. Esto se debe a que no tendrá el símbolo de seguridad actual. Esto aumenta drásticamente el poder de su inicio de sesión y también ayuda a aliviar los ataques de la fuerza bruta en su inicio de sesión. Hay una serie de complementos que pueden ayudarlo a configurar la autenticación en dos factores de WordPress. Consulte 6 mejores complementos de autenticación de seguridad de WordPress para algunos de nuestros favoritos. #20: Asegúrese de que los archivos para los archivos sean correctos Esto es algo técnico. PHP y WordPress generalmente usan un conjunto de permisos asociados con archivos y carpetas. Sin ingresar demasiados detalles, existen diferentes tipos de permisos y directorios que se pueden escribir públicamente
Archivos que solo pueden ser escritos por servidor web
Archivos solo para leer
En general, su servidor web debe poder escribir archivos para que WordPress funcione correctamente, mientras que el Público Internet nunca debe tener una escritura en sus archivos. Algunos desarrolladores principiantes o perezosos pueden sugerir cambiar los permisos más laxos. Por ejemplo, puede sugerir que ciertos archivos o carpetas pueden escribirse públicamente (777). Esto creará una seria amenaza de seguridad, porque significa que cualquiera puede escribir cualquier cosa en esa carpeta. Puede estar seguro de que encontrará muchos inconvenientes en su sitio de WordPress si hace esto. Probablemente también encontrarán formas y medios para saltar de la carpeta para hacer estragos en el resto de su sitio. Como regla general, los archivos deben tener un permiso de 644, y las carpetas deben tener 755 permiso. WP-Config.php El archivo debe tener un permiso de 400 o 440. Si alguien le dice algo más, tenga mucho cuidado. Mi sugerencia es dejar de tratar con alguien de otra manera. ¿Cómo puede verificar los permisos correctos para los archivos?
El defensor, mencionado anteriormente, es un complemento de seguridad de WordPress que verificará y remediará los archivos, según sea necesario. #21: Cambie el prefijo predeterminado de la tabla Este es otro remanente de las viejas versiones de WordPress. Anteriormente, los nombres de las tablas de WordPress en la base de datos comenzaron con el prefijo WP_ Aunque este ya no es un comportamiento predeterminado, algunas personas aún tienden a volver a esta práctica (incierta), mientras que las versiones más antiguas, por supuesto, tienen que vivir con este . Aunque esto es estrictamente hablando, la seguridad de WordPress por oscuridad, el cambio de nombre de las tablas WP_ a un prefijo diferente aún puede bloquear algunos intentos de ataques de inyección SQL. El procedimiento de cambio de nombre de la tabla WP_ existente solo debe ser realizado por su desarrollador de WordPress de confianza. #22: Asegúrese de establecer las claves secretas de autenticación de WordPress Es posible que se haya reunido con estas ocho claves de seguridad y autenticación de WordPress en su archivo wp-config.php y se preguntaba cuáles son estos. También es posible haber visto ni escuchado sobre ellos. Se ve así: las claves de seguridad de WordPress generadas automáticamente.
Esencialmente, estas tienen variables aleatorias que han usado para dificultar la adivinación o descifrar sus contraseñas de WordPress. Esto se debe a que agrega un elemento de aleatoriedad a la forma en que las contraseñas tienen un almacenamiento en su base de datos, lo que hace que la ventaja sea más difícil de romper con la fuerza bruta. Aunque la mayoría de los sitios autohospedados no tienen en su lugar, los compras realmente implementándolos. Este es un procedimiento relativamente fácil: 1. Generó un conjunto de claves utilizando el generador aleatorio de WordPress 2. Edite su archivo wp.config y en la sección única de autenticación, usted es un lugar donde agregar las claves únicas generadas en el paso 1 no comparta o hacer estas claves disponibles públicamente. Derrota su propósito. #23: Desactivar la ejecución de PHP Una de las primeras cosas que hace un hacker si obtuviera algún tipo de acceso a su sitio sería ejecutar PHP desde un directorio. Pero si va a deshabilitar esto, incluso si una vulnerabilidad existente en su sitio web de WordPress, esta protección sería seriamente el resto del intento de un hacker de tomar su sitio. Este es un paso de seguridad de WordPress bastante fuerte y puede romper algunos y complementos que pueden requerirlo, pero debe implementar esto al menos en las includes y cargas WP más vulnerables. Esta protección debe implementarse a través de sus archivos .htaccess. Agregue el siguiente código al archivo .htaccess en el directorio raíz de su instalación de WordPress: Cargando Raewrites Gist/31943DCD7DA5C463994ED199467BD6C
#24: Segregue sus bases de datos de WordPress Si ejecuta varios sitios web en la misma cuenta de servidor de alojamiento, puede tener la tentación de crear todos los sitios en la misma base de datos. Esto crea un riesgo de seguridad de WordPress. Si un sitio web se compromete, todos los demás sitios web de WordPress en la misma base de datos también tienen un riesgo severo de piratería. Al configurar su instalación de WordPress, lo primero que debe hacer una nueva base de datos. Déle el nombre de la base de datos separado, el nombre de usuario de la base de datos y la contraseña, que es diferente de cualquier otro sitio o inicio de sesión que tenga. De esta manera, si uno de sus sitios es pirateado, la infección no espacia a sus sitios en la misma cuenta de alojamiento compartido. #25: Restringir los privilegios de los usuarios de la base de datos Al configurar un sitio de WordPress por primera vez, puede, por falta de información, crear una seguridad a través de los privilegios del usuario de la base de datos. En general, el usuario de la base de datos solo necesita los siguientes privilegios: para la mayoría de las operaciones diarias de WordPress, el usuario de la base de datos solo necesita privilegios de escritura de datos a la base de datos: seleccione, inserte, actualice y elimine. Puede eliminar los privilegios adicionales, el sush como caída, alter y Grant. NB: Algunas actualizaciones principales de la versión de WordPress pueden en realidad los privilegios de las agujas, sin embargo, en la mayoría de los casos, la ejecución general de WordPress no necesita estos privilegios. Es aconsejable que antes de realizar actualizaciones de WordPress, o la instalación o actualizaciones de los complementos de WordPress, tenga una copia de seguridad de trabajo completa. .
Probablemente necesite jugar con temas y archivos de complementos. Por defecto, los administradores de WordPress tienen los derechos de editar archivos PHP. Una vez que su sitio web se ha desarrollado y está en vivo, tiene mucho menos necesidad de editar estos archivos. Sin embargo, permitir que los administradores editaran archivos es un problema de seguridad. Esto se debe a que si un hacker logra iniciar sesión en su sitio, inmediatamente tiene privilegios de edición y podrán cambiar los archivos para satisfacer las necesidades maliciosas. Puede (y debe) deshabilitar archivos para administradores de WordPress después de que su sitio web vive a través de lo siguiente en el archivo wp-config.php: cargando gist raewrites/ea5715f5c6184b0088c6b1a7d42af7d
#27: Asegure su archivo wp-config.php Si sus archivos de WordPress sean análogos al cuerpo humano, el archivo wp-config.php sería el corazón. No entraré en detalles sobre WP-Config.php Here, ya lo he cubierto ampliamente en el archivo WordPress WP-Config: una guía completa. Pero el hecho de que almacene importantes cosas de STORF SUH como detalles de inicio de sesión para la base de datos con su instalación de WordPres, sales de contraseña y otras configuraciones importantes, es suficiente decir que esto es muy. Claramente, no quieres que nadie asuma este archivo. Recomiendo implementar medidas de seguridad específicas para salvaguardar este archivo de configuración crítico de WordPress. Hay desacuerdos sobre si esta partitura se aleja de su ubicación de raíz, sin embargo, la mayoría está de acuerdo en que esto debe estar asegurado. Si tiene Alreey implementado el paso #23 anterior (deshabilitar la ejecución de PHP), puede agregar lo siguiente a sus archivos .htaccess:
Cargando Raewrits Gist/C7246Edad57D441356B8914B5C366DB9#28: Disable Esto significa que las aplicaciones pueden acceder a su sitio (por razones benignas). Un ejemplo típico de uso del XML-RPC es si ha usado una aplicación móvil para actualizar su sitio. También tiene algunos complementos, que usan XML-RPC. Por ejemplo, JetPack utiliza la funcionalidad XML-RPC. Sin embargo, el XML-RPC también se puede usar para realizar ataques de hack en su sitio web. Muchos usuarios de hoy creen que XML-RPC es tan seguro como el resto del núcleo de WordPress, pero puede descansar que XML-RPC es algo que los scripts de piratería van a sondear. Probablemente encontrará muchos éxitos a XML-RPC si ha habilitado el registro en su sitio. Si tiene alguna si tiene alguna aplicación de terceros o no tiene complementos de WordPress utilizando su sitio web de WordPress a través de XML-RPC, puede elegir deshabilitarlo un complemento de WordPress. #29: Desactivar los informes de errores de PHP Cuando tiene un desarrollo del sitio web, los informes de errores son un salvavidas. Le muestra exactamente si se está cometiendo un error para que pueda solucionarlo rápidamente. Pero, en un sitio en vivo, los informes de errores les da crucial a Hacker para que su vida sea. Por ejemplo, consulte el siguiente informe de error:
Los informes de errores de PHP pueden regalar información importante sobre su instalación de WordPres.
El error anterior está dando a Anway el nombre de usuario de la cuenta.Esa es una información crucial para alguien que busca atacar su cuenta de alojamiento.Esta es solo una pieza de información: los informes de errores generalmente pueden dar clules realmente buenos si conoce las debilidades que tiene.Puede deshabilitar los informes de Php Eror utilizando el siguiente cambio en sus archivos php.ini: Carga de RAEWRITES GIST/F9F1005CF15AF0C1282C4281C271CA2A
Esto garantiza que cualquier riesgo de seguridad de WordPress creado a través de la exposición de Sensitive sobre su sitio haya mitigado. #30: Instale un firewall Hay dos tipos principales de firewalls o usos para firewalls. En la seguridad de la red, los firewalls se usan para segregar diferentes tipos de redes. Evitando que las cosas entren o las cosas salgan. Nuevamente, si usamos una analogía, un firewall puede describirse como un Boncer: solo se le permite en una fiesta VIP si está en la lista de invitados. Al igual que el repollo en la fiesta que generalmente impide que las personas entren, los firewalls de software se pueden usar para evitar que los hackers se acercan a su sitio web (la fiesta). En la casa de Sailing WordPress, vamos a usar un firewall de aplicación web (WAF) para evitar que los piratas informáticos pegue sus lites sucios (o bots) en lugares donde no pertenecen. Hay una serie de firewalls de WAF, pero uno de los firewalls más religiosos, gratuitos y de código abierto, disponibles con WordPress Hosting Services, es el firewall de modas. Es posible que desee solicitar a su servicio de alojamiento para ver si está disponible en su servicio de alojamiento y habilitarlo si es así. Una vez que está habilitado, su proveedor de alojamiento o su desarrollador de WordPress de confianza generalmente pueden sugerir o implementar reglas de seguridad. #31: USA Content Delivery Network Firewall tiene red de entrega de contenido ‘
El uso de S Primay es típicamente para optimizar el rendimiento de su sitio al servir recursos pesados rápidamente. Puede obtener más CDN en nuestros servicios de CDN del Artículo 9 para un sitio de WordPress súper rápido. Los CDN, Howver, proporcionan otra característica secundaria: la mayoría de los CDN están a punto de proteger a Angainst, varios problemas de seguridad de WordPress. Si tiene un CDN (y debería), asegúrese de tener también habilitar las reglas de seguridad para mejorar la protección de su sitio web de WordPress. . Puede mejorar su seguridad de WordPress mediante el monitoreo de sus registros. Por ejemplo, si encuentra que la mayoría de los intentos de piratería tienen la realización del país específico, tal vez uno que su sitio web no atiende, Coild elige usar su firewall para bloquear ese país. Este es, por supuesto, un ejemplo muy simple de lo que puede descubrir el monitoreo. Puede elegir usar OSSEC si tiene acceso directo a su servidor de alojamiento. También puede optar por usar un complemento de auditoría de seguridad para mantener registros de auditoría regulares. Mantener a WordPress seguro esta mejor lista de verificación de seguridad de WordPress podría darle un Buni de trabajo si no ha sido mucho para asegurar su sitio web de WordPress antes. Lo bueno es que estos pasos no vuelven a deleitar mucho para convertirse en parte del proceso de creación de un sitio web. La seguridad de WordPress es algo que debe tomarse en serio. Los ataques de hack se han convertido en la norma. Su sitio web probablemente esté emprendido en este momento. Ok, entonces, ¿tiene un pozo todo lo anterior en su lugar, pero cuanto más de esta seguridad de WordPress establezca, mejor? Porque lo haría
¿Te volverás a ser seguro que curar? ¿Cuántos de estos pasos tomaste para asegurar tu sitio de WordPress?¡Comparta su puntaje a continuación!Y no olvide descargar nuestra lista de verificación PDF en 32 pasos.
Etiquetas:
Seguridad de WordPress
Seguridad de WordPress: lista de verificación definitiva en 32 pasos
Tags Seguridad de WordPress: lista de verificación definitiva en 32 pasos
